Novo Vírus Propaga-se Rapidamente na Internet

[Alvaro Anjos]

O PandaLabs, o laboratório anti-malware da Panda Security detectou um novo vírus que está a propagar-se rapidamente na Internet e a provocar danos em redes informáticas em todo o mundo. Uma variante da família de malware Sality, este novo código malicioso é especialmente perigoso devido à sua elevada infecciosidade e as características de ocultação. O Sality pode propagar-se por diversos tipos de meios, incluindo e-mails, dispositivos USB ou localizações partilhadas nas redes informáticas. O PandaLabs detectou um número assinalável de amostras distribuídas com recurso a e-mails com notícias falsas. Ao serem abertos estes e-mails e corridos os ficheiros em anexo, os utilizadores podem de imediato ficar infectados.

Ao infectar um computador, o Sality cria uma ligação com o exterior, possibilitando aos criadores deste vírus o total controlo remoto do mesmo, podendo as máquinas afectadas serem utilizadas para qualquer tipo de função, como furto dos dados pessoais dos utilizadores ou ataques de negação de serviços a outros computadores na Internet.



A Panda Security, já detectou a presença de infecções deste malware em Portugal. Para Rui Lopes, Director-Técnico do PandaLabs, "trata-se de uma variante muito recente e bastante perigosa, e alguns fabricantes de soluções antivírus estão com dificuldades na sua detecção e remoção, pelo que esperamos que a situação se agrave nos próximos dias".

Os efeitos levados a cabo pelo Sality são os seguintes:

· Disponibiliza aos seus criadores o controlo remoto de todos os computadores infectados: Todos os computadores infectados com este código malicioso abrem uma ligação com o exterior, utilizando o protocolo IRC e ficheiros HTML locais, sendo a partir desta possível controlar o computador para actualizar o vírus, adicionar-lhe novas funcionalidades, utilizar o sistema para lançar ataques de negação de serviços, distribuir spam, etc.

· Provoca perdas de produtividade nos sistemas e nas redes: Ao procurar propagar-se, impede que algumas funções do sistema operativo sejam correctamente utilizadas e diminui o desempenho das máquinas. As redes também sofrem com a tentativa de distribuição do vírus em todos os recursos partilhados. Como o computador pode ser controlado remotamente, os seus recursos e os das redes informáticas a que estão ligados podem ser utilizados pelos criadores dos vírus para todo o tipo de acções maliciosas, provocando perdas de desempenho e danos financeiros (por exemplo, com os custos da ligação à Internet).

· Degrada o nível de segurança do computador: Altera as permissões do sistema operativo, diminuindo desta forma o nível de protecção dos dados.

O Sality utiliza os seguintes meios de propagação e distribuição:

· Exploração de vulnerabilidades, com a intervenção do utilizador: aproveita-se de erros específicos em formatos de ficheiro ou aplicações para, quando o utilizador corre um ficheiro infectado (por exemplo abrindo um documento, acedendo a uma página Web maliciosa, abrindo o e-mail, etc.) o vírus fique imediatamente activo no computador.

· Cria cópias de si mesmo para pastas e outros recursos partilhados em rede, com vista a procurar que outros utilizadores o executem e infectem as suas máquinas. No caso de localizações protegidas, procura adivinhar as passwords desses recursos, com vista a obter as permissões necessárias para se propagar.

· Infecta diversos tipos de ficheiros, sendo que estes podem depois ser distribuídos por qualquer meio: disquetes, pen drives, e-mails, downloads da Internet, redes P2P, etc.

Para dificultar a detecção por parte dos antivírus, o Sality utiliza as seguintes estratégias:

· Residente na memória: quando infecta um computador, o vírus permanece na memória e bloqueia funções do sistema operativo. Desta forma, sempre que essas funções são invocadas, é o Sality que responde, infectado novos ficheiros. Isto diminui as possibilidades de detecção, pois aparentemente tratam-se de funções normais do sistema operativo e não de um código malicioso a operar.Oculto: quando está na memória, o vírus oculta as modificações executadas ao computador, nomeadamente ao sector de arranque da drive e aos ficheiros, procurando assim evitar detecções baseadas nas alterações realizadas.

· Polimórfico: encripta-se a si próprio de forma diferente em cada nova infecção, utilizando de cada vez novos métodos, o que altera as suas características, pois a cada infecção o ficheiro do vírus é diferente. Também permanece encriptado a maior parte do tempo que está em memória.

· Tira partido dos espaços vazios nos ficheiros: para infectar outros ficheiros, tira partido dos seus espaços vazios dividindo-se em pequenas partes e distribuindo-se por estes. Desta forma, os ficheiros infectados não aumentam de tamanho.

Para proteger os computadores do Sality, a Panda Security deixa algumas recomendações:

· Instalação de um bom pacote de segurança, nomeadamente com tecnologias proactivas que detectam vírus desconhecidos e protecção a partir da Internet.
· Manter a solução de segurança actualizada, verificando sempre se o programa está configurado para actualizar-se automaticamente.

· Manter a protecção em tempo real do antivírus sempre activada.

· Efectuar backups regulares do sistema e dos ficheiros mais importantes

· Não abrir e-mails suspeitos, e evitar de uma forma geral abrir ficheiros desconhecidos ou cuja proveniência não possa ser verificada.

· Verificar a segurança do sistema, obtendo uma segunda opinião sobre a protecção do computador.

Sabem o que vos digo, estão tramados.

Falando serio, estes indevidos não devem de ter nada que fazer

[Malamen]

Também acho... estes "indevidos" haviam de arranjar o que fazer...

[R00KIE]

Pois .... isto há indivíduos para tudo ... mas há uma coisa que não percebo, como raio é que este vírus consegue fazer tanto estrago quando o utilizador está a trabalhar com uma conta que não seja de administrador.
Não era suposto o uac e afins tomarem conta deste tipo de problemas?

[Alvaro Anjos]

(13-02-2009 19:20)R00KIE Escreveu:  Pois .... isto há indivíduos para tudo ... mas há uma coisa que não percebo, como raio é que este vírus consegue fazer tanto estrago quando o utilizador está a trabalhar com uma conta que não seja de administrador.
Não era suposto o uac e afins tomarem conta deste tipo de problemas?

Não sei se sabes mas o Windows vista quando é instalado continua a vir predefinido como Administrador e não como Utilizador padrão, e o UAC foi uma coisa que a Microsoft arranjou para chatear os utilizadores e não para proteger.
Se estou errado que me corrijam S.F.F.

[Ferreira]

Para ter acesso aos directórios do sistema é preciso dar a confirmação ao pedido do UAC, mesmo como Administrador.

[RaCcOn]

Ao contrário do que muita gente pensa a grande das pessoas que criam virus são pagas e muito bem pagas...não quer dizer que não existam os que o fazem apenas por diversão lol no entanto a grande maioria são pagos...não vos vou dizer por quem...acho que podem tirar as vossas proprias conclusões acerca dos negócios dos Anti-virus..


Quanto aos sistemas de segurança...todos eles são inuteis e não existem sistemas operativos perfeitos(sim também é possivel fazer algo a Linux lol) Como o amigo Ferreira disse, é necessário dar confirmação ao pedido do UAC...apesar de eu e a grande maioria dos programadores achar-mos demasiado fácil de o ultrapassar(tal como já tinha dito anteriormente em outro post).

Como foi dito também pelo nosso amigo Ferreira em outro post sobre o tema, o botão do UAC aparece exactamente no mesmo local, sendo relativamente simples fazer uma rotina que faz com que seja feito automaticamente um click naquele local sempre que este for detectado.(Sim já vão cair em cima de mim a dizer que eu ando a beber e que é impossivel, mas metam na cabeça, NÃO EXISTEM SISTEMAS OPERATIVOS PERFEITOS E TODOS OS SISTEMAS DE SEGURANÇA SÃO QUEBRADOS A CURTO/MEDIO PRAZO)

[R00KIE]

@Alvaro Anjos
Pois ... não faço ideia, fiquei pelo xp e depois tive de mudar para o linux por causa da escola e acho que já não quero outra coisa . cheguei a testar o vista quando saiu mas o meu desktop só com 1G de ram e uma gráfica X600 não se deu bem com o vista. Mesmo por não usar é que perguntei, supostamente um utilizador com uma conta de restrita (de utilizador) devia estar mais seguro mas .... é como dizes ... conta de admin é o padrão e deve haver coisas que para fazeres tens mesmo de estar em conta de admin (o que é uma valente seca) depois dá nisto .... acho que já deve ter acontecido a todos pelo menos uma vez

Depois .... falam do linux que tem de se andar sempre a meter a password mas pelo menos isso tem de ser mesmo o utilizador a fazer, alguém com um mínimo de bom senso quando isso lhe é pedido desconfia logo ... no caso de ser só clicar .... é o que se vê.
Claro que não há sistemas 100% seguros mas quando há qualquer coisa que é 100% previsível e não depende da burrice do utilizador não admira que volta e meia corra mal.

[Ferreira]

Já que se falou nisto, andei a investigar e parece que sempre é possível activar um pedido de password para o UAC (apenas nas versões Business, Enterprise e Ultimate), como se vê [ul=http://technet.microsoft.com/en-us/library/cc709691.aspx]aqui[/url].

Mas de qualquer forma acho que isto devia vir activo por omissão.

[Alvaro Anjos]

(13-02-2009 23:58)Ferreira Escreveu:  Já que se falou nisto, andei a investigar e parece que sempre é possível activar um pedido de password para o UAC (apenas nas versões Business, Enterprise e Ultimate), como se vê [ul=http://technet.microsoft.com/en-us/library/cc709691.aspx]aqui[/url].

Mas de qualquer forma acho que isto devia vir activo por omissão.

Bem acho que estamos todos de acordo, agora não entendo qual é o motivo da Microsoft não predefinir uma coisa tão simples como essa?
Seria uma mais valia para eles e para os utilizadores menos experientes e pouco atentos.
Não acham?

[racoq]

Aliás na semelhança com que acontece com o gksudo ou gksu (variante grafica do sudo), nas distribuições de linux como o Ubuntu por exemplo.

Talvez eles tenham medo de ao copiarem o que resta do sudo, sejam apanhados por isso



Devo lembrar que o sudo e gksudo, já existe desde a versão 5.10 do Ubuntu. Para terem uma ideia de quanto isto já é antigo em Linux, deixo aqui o link para confirmar o que disse:

http://members.home.nl/jeroen-91/ubuntu/breezy-new/